มีการโจมตีด้วยมัลแวร์ที่แฝงตัวใน GitHub ผ่าน PoC ปลอมของ LDAPNightmare เมื่อวันที่ 11 มกราคม 2025 มีการรายงานการโจมตีด้วยมัลแวร์ที่แฝงตัวใน GitHub ผ่าน PoC ปลอมของช่องโหว่ CVE-2024-49113 หรือที่รู้จักกันในชื่อ "LDAPNightmare" โดยมัลแวร์นี้จะขโมยข้อมูลสำคัญจากผู้ใช้และส่งออกไปยังเซิร์ฟเวอร์ FTP ภายนอก การโจมตีนี้ถูกค้นพบโดย Trend Micro ซึ่งพบว่าโครงการใน GitHub ที่ดูเหมือนจะถูก fork มาจาก PoC ที่ถูกต้องของ SafeBreach Labs สำหรับ CVE-2024-49113 แต่จริง ๆ แล้วเป็นมัลแวร์ที่แฝงตัวอยู่ เมื่อผู้ใช้ดาวน์โหลด PoC จาก repository ที่เป็นอันตรายนี้ จะได้รับไฟล์ปฏิบัติการ 'poc.exe' ที่บรรจุด้วย UPX ซึ่งเมื่อรันแล้วจะปล่อยสคริปต์ PowerShell ในโฟลเดอร์ %Temp% ของเหยื่อ สคริปต์นี้จะสร้างงานที่กำหนดเวลาไว้ในระบบที่ถูกโจมตี ซึ่งจะรันสคริปต์ที่เข้ารหัสเพื่อดึงสคริปต์ที่สามจาก Pastebin Payload สุดท้ายจะรวบรวมข้อมูลคอมพิวเตอร์ รายการกระบวนการ รายการไดเรกทอรี ที่อยู่ IP และข้อมูลอะแดปเตอร์เครือข่าย รวมถึงการอัปเดตที่ติดตั้ง และอัปโหลดข้อมูลเหล่านี้ในรูปแบบ ZIP ไปยังเซิร์ฟเวอร์ FTP ภายนอกโดยใช้ข้อมูลประจำตัวที่ถูกฝังไว้ PoC หรือ Proof of Concept คือการทดสอบหรือการสาธิตเพื่อแสดงให้เห็นว่าแนวคิดหรือทฤษฎีสามารถทำงานได้จริงในทางปฏิบัติ PoC มักถูกใช้เพื่อแสดงให้เห็นถึงช่องโหว่หรือการโจมตีที่สามารถเกิดขึ้นได้ในระบบหรือซอฟต์แวร์ ในกรณีนี้ PoC ที่เผยแพร่นี้ดันเป็นของที่ถูกใส่โค้ดอันตรายเพื่อขโมยข้อมูลผู้ใช้มาด้วย ผู้ใช้ควรระมัดระวังและตรวจสอบความถูกต้องของโค้ดและแหล่งที่มาของ PoC ก่อนที่จะรันบนระบบของตนเอง เพื่อป้องกันการติดมัลแวร์หรือการโจมตีที่ไม่พึงประสงค์ https://www.bleepingcomputer.com/news/security/fake-ldapnightmware-exploit-on-github-spreads-infostealer-malware/